Zum Inhalt springen Zur Navigation springen
Man-in-the-Middle-Attacke: Die unsichtbare Bedrohung

Man-in-the-Middle-Attacke: Die unsichtbare Bedrohung

Artikel von Anton Frank·27. Oktober 2023

Unter der Man-in-the-Middle (kurz: MitM)-Attacke kennt man eine der ältesten und gefährlichsten Bedrohungen in der digitalen Welt. Gelingt einem Angreifer diese heimtückische Attacke, so kann er den Datenverkehr zwischen zwei Kommunikationspartnern abfangen und im nächsten Schritt manipulieren, ohne dass diese etwas davon erfahren. Dieser Fachbeitrag beleuchtet die MitM-Attacke genauer, erläutert deren Funktionsweise und legt einige Möglichkeiten zur Prävention dar.

Man-in-the-Middle-Attacke: Was ist das?

Wie bereits in den einleitenden Worten erwähnt, spricht man von einer MitM-Attacke, wenn ein Angreifer die Kommunikation zwischen zwei Parteien abfängt und diese heimlich überwacht oder manipuliert.

Dabei kann dies in verschiedenen Umgebungen auftreten. Ob im öffentlichen WLAN, bei der Online-Banking-Anmeldung oder sogar zum Teil in Unternehmensnetzwerken. Besonders beliebt sind auch Anmeldungen bei Cloud-Diensten geworden, wie etwa bei der Microsoft 365 Suite, zu der unter anderem MS Office gehört.

Das Hauptziel eines Man-in-the-Middle-Angreifers ist es, sich zwischen den beiden Kommunikationspartnern zu „positionieren“.

Welche Arten von Man-in-the-Middle-Angriffen gibt es?

Der Angreifer muss sich nicht zwingend aktiv zwischen zwei Kommunikationspartner geschaltet haben, wie beispielsweise bei der Rogue Access Point Methode. Das Ganze funktioniert auch durchaus passiver, wie etwa beim URL Spoofing. Eine Auswahl von gängigen Methoden sind:

Rogue Access Point

Angreifer errichten einen eigenen WLAN-Zugangspunkt (Access Point) und versuchen Smartphones, die automatisch nach WLAN Access Points suchen, in ihre Domäne hinzuzufügen. Gelingt es den Angreifern, kann der Netzwerkverkehr ihrer Opfer abgehört und manipuliert werden.

DNS Spoofing

Angreifer manipulieren DNS-Einträge im Speicher von Endgeräten, Routern oder Servern. Sicherheitslücken erlauben es Angreifern, die DNS-Einträge von Nameservern zu ersetzen, die dann in den Cache von anfragenden Servern und Endgeräten geladen und weitergegeben werden. Dadurch werden Opfer, unter der Annahme, sie verbinden sich auf eine vertrauenswürdige Seite, getäuscht und auf bösartige Hosts weitergeleitet. (Cache Poisoning)

mDNS Spoofing

Hierbei findet der Angriff in lokalen Netzwerken statt (z.B. Büro- oder Heimnetze). Angreifer nutzen das mDNS-Protokoll aus, um gefälschte Informationen über ein oder mehrere Netzwerkgeräte zu erzeugen. So könnten sie sich beispielsweis als Drucker in einem Netzwerk ausgeben und bei automatischer Verbindung eines Opfers etwa Malware verbreiten.

Sniffing

Mit Hilfe von Tools zur Paketerfassung (z.B. NPM oder Wireshark) lassen sich Pakete heimlich abhören, die zwischen Geräten in einem Netzwerk versendet werden. Darüber lassen sich zu einem bestimmten Grad auch wertvolle Informationen für Angreifer gewinnen.

Packet Injection

Diese Methode setzt in der Regel Sniffing zur Bestimmung der versandten Pakete voraus und beschreibt einen Angriff, bei dem bösartige Pakete des Angreifers in den Datenfluss eingeschleust werden, wo sie sich unter die „gutartigen“ Daten mischen und sich so als Teil des Kommunikationsflusses verbreiten.

Session Hijacking

Heutzutage ist es üblich, dass Webanwendungen nach einer Anwendung einen meist temporären Session-Token erstellen, um dem User künftig das Log-in zu erleichtern bzw. zu ersparen. Angreifer können diesen Session-Token jedoch abgreifen und sich damit lange mit dem Konto des Opfers einloggen, bis ein neuer Session-Token erzwungen oder freiwillig erstellt wird.

Besonders heimtückisch ist in diesem Zusammenhang die immer noch sehr präsente ExilProxy-Attacke, bei der Angreifer über ein manipulierten Proxy-Server, der ein vermeintlich legitimes Web-Login vortäuscht, Session-Tokens ihrer Opfer abgreifen und damit teilweise Multifaktor-Authentifizierungen umgehen können.

Wie funktioniert die Man-in-the-Middle-Attacke?

Einfach erklärt, basiert die Man-in-the-Middle-Attacke auf dem Abfangen und Umlenken des Datenverkehrs zwischen zwei Parteien. Die drei grundlegenden Schritte, die ein Angreifer normalerweise durchläuft, sind:

  1. Abhören des Datenverkehrs
     Der Angreifer verwendet eine von vielen Methoden, um den Datenverkehr zwischen den Opfern abzufangen. Dies kann durch das Abhören von WLAN-Signalen, den Einsatz von Malware oder das Ausspähen von Netzwerkverbindungen erfolgen.
  2. Umleitung des Datenverkehrs
     Nachdem der Angreifer den Datenverkehr abgefangen hat, leitet er ihn an die eigentlichen Ziele weiter. Dies geschieht in der Regel, ohne dass die Opfer davon etwas merken.
  3. Manipulation der Kommunikation
     In einigen Fällen geht der Angreifer noch weiter, indem er die Kommunikation zwischen den Opfern aktiv manipuliert. Dies kann dazu führen, dass vertrauliche Informationen gestohlen oder gefälschte Daten eingeschleust werden, welche dann zu verschiedensten weiteren Angriffsvektoren, wie Verbreitung von Ransomware o.ä., führen können.

Prävention von Man-in-the-Middle-Angriffen

Da Man-in-the-Middle-Angriffe eher schwer zu erkennen sind, dafür aber große Schäden verursachen können, ist die Prävention von besonderer Bedeutung. Einige bewährte Methoden zur Verteidigung gegen Man-in-the-Middle-Angriffe sind:

  • Verschlüsselung verwenden
     Verschlüsselungstechniken, wie SSL/TLS, können dazu beitragen, die Kommunikation zwischen den Parteien abzusichern und die Gefahr von Abhör- und Manipulationsversuchen zu minimieren.
  • Sichere Netzwerke verwenden
     Meiden Sie öffentliche WLANs für sensible Transaktionen. Sollten sie auf unsichere Netzwerke angewiesen sein, so könnten beispielsweise VPNs zur Hilfe genommen werden.
  • Regelmäßige Updates
     Software und Sicherheitsprotokolle, die sich verwenden, sollten immer auf dem neuesten Stand sein, um so die Anzahl von Schwachstellen zu minimieren, die von Angreifern ausgenutzt werden könnten.
  • Überwachung und Erkennung
     Sicherheitslösungen, die auf die Erkennung von verdächtigem Verhalten im Netzwerk spezialisiert sind, sollten implementiert werden, um MitM-Angriffe frühzeitig zu erkennen.

Man-in-the-Middle-Attacken weiterhin ernst zu nehmen

Die Man-in-the-Middle-Attacke (MitM) ist nach wie vor eine ernsthafte Bedrohung in der digitalen Welt. Die Konsequenzen können verheerend sein, wenn ein Angreifer in der Lage ist, unbemerkt zwischen zwei Kommunikationspartnern zu agieren und sich daraus Datenlecks, Betrugsfälle und schwerwiegendere Cybervorfälle ergeben. Es ist daher von großer Bedeutung, sich über die Funktionsweise von MitM-Angriffen im Klaren zu sein und entsprechende Schutzmaßnahmen zu ergreifen.

Vor allem Unternehmen sollten sich vor Augen führen, dass bei fehlender Awareness und Vorsicht aus einem kleinen Fauxpas schnell größere Vorfälle entstehen können. Und während sich die digitale Welt tagtäglich weiterentwickelt, wachsen damit auch die Möglichkeiten für Angreifer. Das rückt die Sensibilisierung für das Thema besonders in den Vordergrund.

Mehr zum Thema IT
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.